Индустрия киберпреступности обошлась миру в три триллиона долларов в 2015 году и, по прогнозам, к 2021 году сумма вырастет до шести триллионов. Оцениваются все издержки в комплексе – например, в атаке с использованием шифратора мы считаем не только сумму выкупа, но и расходы от снижения производительности, последующее усиление мер безопасности, имиджевый ущерб и не только.

Киберпреступность как сервис не является чем-то принципиально новым. Разработчики вредоносного ПО предлагают продукты или инфраструктуру на черном рынке. Но что конкретно они продают и сколько это стоит? Мы просмотрели несколько сайтов в даркнете, чтобы найти ответы на эти вопросы.


Вымогатель как сервис


В даркнете доступно множество пакетов программ-вымогателей. Обновления, техподдержка, доступ к C&C-серверам, тарифные планы – все как у «белого» ПО, за исключением законодательного запрета.


Рисунок 1. Программа-вымогатель Ranion доступна в даркнете

В составе одного из пакетов предлагается вымогатель Ranion, он доступен по подписке на месяц и год. Есть несколько тарифных планов, минимальная плата начинается от 120 долларов в месяц. Премиум-комплектация – 900 долларов в год или 1900 долларов, если заказчик захочет добавить к исполняемому файлу программы дополнительные функции.


Рисунок 2. Варианты подписки на Ranion, предлагаемой киберпреступниками

Возможна другая схема оплаты – киберпреступники предоставляют вредоносное ПО или доступ к C&C-инфраструктуре бесплатно, а затем забирают себе часть средств, полученных от жертв.

Какая бы стратегия ни была применена, мы видим, что арендатор берет на себя дальнейшие операции с малварью. Ему нужно доставить программу до устройства жертвы, например, с помощью спам-рассылки или доступ к уязвимым серверам через RDP.

Продажа доступа к серверам


В даркнете можно найти сервисы, предлагающие учетные данные для доступа к серверам через протокол RDP. Цена – в диапазоне 8-15 долларов за один сервер, их можно сортировать по стране, операционной системе, даже по тому, на какие сайты оплаты пользователи заходили с этих серверов.


Рисунок 3. Продажа доступа к серверам в Колумбии через RDP

На рисунке выше – фильтр по 250 доступным серверам, расположенным в Колумбии. Для каждого сервера приведена детальная информация, которую можно увидеть на следующем изображении.


Рисунок 4. Описание сервера, доступ к которому продается в даркнете

После покупки доступа киберпреступник может воспользоваться им для запуска программы-вымогателя или установить более скрытное вредоносное ПО, троян или шпионскую программу.

Аренда инфраструктуры


Некоторые операторы ботнетов сдают в аренду их вычислительные мощности для рассылки спама или DDoS-атак.

Стоимость таких атак варьируется в зависимости от продолжительности (в диапазоне от 1 до 24 часов) и от того, сколько трафика ботнет может в это время генерировать. На рисунке ниже вариант с трехчасовой атакой за 60 долларов.


Рисунок 5. Пример предложения с арендой инфраструктуры для DDoS-атаки

Некоторые предлагают аренду своих (как правило, небольших) ботнетов для атак на серверы онлайн-игр, например, Fortnite. Они же нередко продают краденые аккаунты. Для продвижения «сервисов» используются социальные сети, владельцы аккаунтов особо не беспокоятся об анонимности.


Рисунок 6. Предложения по аренде ботнетов в Instagram


Рисунок 7. Пользователи YouTube демонстрируют DDoS-атаки на серверы Fortnite

Продажа аккаунтов PayPal и кредитных карт


Операторы успешных фишинговых атак зачастую не рискуют использовать украденные аккаунты самостоятельно. Более безопасно и рентабельно перепродать добычу другим киберпреступникам. Как можно видеть в таблице ниже, они берут около 10% от средств на скомпрометированном счете.


Рисунок 8. Продажа аккаунтов PayPal и кредитных карт

Некоторые продавцы гордо демонстрируют фейковые сайты и другие инструменты для фишинга.


Рисунок 9. Пошаговое описание процесса

В презентации на Segurinfo 2018 евангелист ESET Тони Энскомб отметил, что индустрия разработки вредоносных программ теперь напоминает софтверную компанию. Предлагаемое киберпреступниками ПО, продукты и сервисы с успехом используют схемы, позаимствованные в «легальных» продажах и дистрибуции.

В даркнете функционирует полноценная индустрия с продажами, маркетингом, постпродажным обслуживанием, выпуском обновлений ПО и мануалов. В экосистеме много внутренних покупателей, а основная прибыль достается крупным игрокам, обладающим наиболее развитой инфраструктурной сетью и ассортиментом. Как результат развития «индустрии» – более широкая доступность вредоносных программ в сочетании с их технологическим усложнением.